Dataskydd.NET 2.13

Dataskydd.NET 2.13

Dataskydd.NET

Vol. 2, nr. 13, 22 juli 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Ny information om medlemsländernas förhandlingar om dataskyddsdirektivet
2. Brittisk domstol säger nej till datalagring
3. Nytt tekniskt standardförslag mot "otillåten spårning"
4. Identitetspolitikens saknade fokus på dataskydd

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Ny information om medlemsländernas förhandlingar om dataskyddsdirektivet

EU:s dataskyddspaket har två delar: en förordning som gäller alla utom polisen, och ett direktiv som inte gäller någon utom polisen. Direktivet har hamnat i skymundan av förordningen eftersom färre aktörer har haft ett intresse av att diskutera sakfrågan. Länge blockerades direktivet av en minoritet medlemsländer i ministerrådet, och Sverige är ett av länderna som begärt en subsidiaritetsprövning.

Trots detta är grunden för en subsidiaritetsprövning rätt svag. Ministerrådet har redan gjort ett ramverksbeslut, utan EU-parlamentets medverkan, som påverkar dataskydd i medlemsländernas polisiära verksamheter. Sveriges nya polisdatalag är skriven med ramverksbeslutet i beaktande.

Enhetliga lagkrav har också fördelen att de bidrar till teknisk standardisering av viktiga grundbultar i de tekniska system polismyndigheter runt om i Europa ska använda sig av. Det förenklar upphandlingar och produktutveckling för polissektorn.

Europaparlamentets behandling av dataskyddsdirektivet om brottsbekämpande myndigheter förstärkte kommissionens förslag. Ministerrådets läckta dokument ser inte lika uppiggande ut.

Österrike och Tyskland protesterar mot att man tagit bort dataminimeringsprincipen, ett särskilt krav som gör att brottsbekämpande myndigheter inte får samla in mer personuppgifter än vad som är absolut nödvändigt. Sveriges bidrag verkar inte lika negativt som det var i dataskyddsförordningen, men med Lexbase, Piscatus, Ratsit och Birthday fortsatt verksamma finns en anledning att blicka extra kritiskt mot svenska regeringens invändningar grundade i skydd av transparens.

En oroande vändning i ministerrådets förhandlingar är att bara auktoriserade organisationer ska ges rätt att utmana beslut om personuppgiftsbehandling och personuppgiftsbehandling som sådan i domstol. Även om en auktoriserad organisation kan representera privatpersoner, är kravet på auktorisering av staten problematiskt. Det gör att varje medlemsland kan förhindra att låta de brottsbekämpande myndigheterna utstå utmaningar genom att låta bli att auktorisera organisationer som vill representera individer.

En av de mer kontroversiella delar rör överföringar av personuppgifter till tredje land och andra territorier. För att bedöma om ministerrådets nuvarande formuleringar innebär en försämring av svenska medborgares rättigheter gentemot säkerhetsbyråer i tredje land krävs en mer ingående granskning än vad Dataskydd.net gjort idag.

Dataskyddsdirekivet är, till skillnad från dataskyddsförordningen, ännu inte moget för trialoger (förhandlingar mellan EU:s samtliga tre institutioner). Det gör att nyheter från ministerrådet och en nogsam granskning av svenska regeringens och svenska riksdagens förhållning till dataskyddsdirektivet fortfarande är relevant.

Läs mer:

Inkommande ordförandeskapets promemoria om återupptagna diskussioner om dataskyddsdirektivet (26.06.2015):

http://www.statewatch.org/news/2015/jul/eu-council-dp-dir-leas-10208-15.pdf

Senaste versionen av ministerrådets förslag till dataskyddsdirektiv (29.06.2015):

http://www.statewatch.org/news/2015/jul/eu-council-dp-dir-leas-10335-15.pdf

Dataskydd.NET om EU:s nya dataskyddsdirektivet:

https://dataskydd.net/nya-dataskyddsdirektivet

Dataskydd.NET:s tidslinje över regeringen och riksdagens synpunkter på dataskyddsdirektivet:

https://dataskydd.net/dataskyddsdirektivet-tidslinje

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Brittisk domstol säger nej till datalagring

Den 17 juli 2015 överraskade en brittisk domstol hela Europa genom att förklara den brittiska lagen för underrättelseinsamling i säkerhetssammanhang som oförenlig med europeisk rätt.

Lord Justice Bean och Mr Justice Collins bedömer att den brittiska lagstiftningen brister i flera avsikter. Den fastställer inte tillräckligt specifika regler för tillgång till lagrade uppgifter. Den avgränsar inte villkoren för tillgång till lagrade uppgifter tillräckligt tydligt. Domstolen tolkar också villkoret på föregående bedömning av en självständigt granskande myndighet som ej uppfyllt av den brittiska lagstiftningen, då myndigheter med intresse av att inhämta uppgifter på egen hand eller via överordnade chefer kan begära ut uppgifter.

Fallet bär relevans på Sverige eftersom den svenska lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet inte kräver föregående granskning av en självständig myndighet. Istället har den så kallade inhämtningslagen en efterhandsgranskning av Säkerhets- och integritetsnämnden.

Den brittiska domstolen har till skillnad från förvaltningsrätten och kammarrätten i Stockholm dragit slutsatsen att bristen på självständig och oberoende förhandsgranskning är i strid mot EU-domstolens domslut.

Storbritannien är det trettonde landet i EU som avfärdar datalagring som oförenligt med rättssäkerhet och mänskliga rättigheter. Datalagring har inte i något EU-land avfärdats av de lagstiftande och exekutiva grenarna av en stat, utan bara av domstolar. I tre medlemsländer (Slovakien, Irland och Österrike) har dock delar av den exekutiva apparaten varit inblandade i försök att få domstolar att underkänna datalagring.

Läs mer:

The Davis' Judgement, från brittiska High Courts hemsida (17.07.2015):

https://www.judiciary.gov.uk/wp-content/uploads/2015/07/davis_judgment.pdf

Mattias Lundbäck på ekonomism.us skriver vidare om domen som gör Sverige unikt i EU (21.07.2015):

https://www.ekonomism.us/entry/bara-sverige-laglig-datalagring-har

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Nytt tekniskt standardförslag mot "otillåten spårning"

Konsortiet för webbläsarstandardisering, World Wide Web Consortium (W3C), har påbörjat ett nytt försök att standardisera mot otillbörlig och olovlig kartläggning av individer. Detta är andra gången W3C påbörjar en standardiseringsprocess som syftar till att ge användare av webbläsare bättre möjligheter att kontrollera vem som spårar dem och deras beteenden och hur information om vad de tar sig för på nätet sedan används.

I den tidigare processen, Do Not Track, fanns till en början en ambition att uppfylla kraven i den europeiska lagen om dataskydd i elektroniska kommunikationer. Efter flera års förhandlingar med stark inblandning från reklamindustrin har processen kantrat. Ett tydligt politiskt engagemang från EU-kommissionens högsta nivå lyckades aldrig realiseras i ett praktiskt engagemang från EU-kommissionens tjänstemän och europeiska tillsynsmyndigheter. Nederländska dataskyddsombudsmannen var den enda europeiska myndighet som deltog i standardiseringsgruppen.

I dagsläget finns ingen överenskommelse eller fungerande lösning för hur användare ska kunna uttrycka en vilja att inte bli spårade i olika sammanhang.

Det nya förslaget riktar sig mot spårning och kartläggning av individer som inte använder standardiserade teknologier. Det har inte, som Dataskydd.NET kan se, någon egentlig förutsättning att uppfylla kriterierna i europeisk lagstiftning, och inte heller någon egentlig förutsättning att ge användare av webbläsare bättre verktyg att själva få makt över hur de kartläggs.

W3C, som många andra privata standardkonsortier, är beroende av att privata företag deltar i standardiseringsprocessen med kunskap och pengar. En standardiseringsprocess som inte röner tillräckligt starkt kommersiellt intresse, och där offentliga medel också saknas för att driva processen framåt, kommer inte att färdigställas.

Spårning och kartläggning på internet är i detta avseende en lika tekniskt som ekonomiskt svår fråga. Så länge lagstiftare och myndigheter inte har ett intresse av att upprätthålla lagstiftning som skrivits för att ge medborgarna mer makt över hur de påverkas, kommer tekniken inte hänga med lagstiftningen. Industrier som deltar i standardiseringsorgan i syfte att förenkla spårning av privatpersoner mot deras vilja, kan å andra sidan i påverkansarbetet kring lagstiftare presentera den tekniska utveckling som ett fullbordat faktum.

Diskussioner om kostnader och teknikutveckling är eftersatta både i den svenska och den internationella debatten. Fokuset hamnar oftare på att lagstiftningen inte hängt med teknologin än tvärtom.

Den gemensamma nämnaren mellan samtliga tillfällen då lagstiftning och teknologi inte samverkar är, sorgligt nog, att det alltid är privatpersoner som får sämre rättigheter. Oavsett om lagen eller teknologin släpar efter.

Läs mer:

Unsanctioned Web Tracking, W3C TAG Finding

http://www.w3.org/2001/tag/doc/unsanctioned-tracking/

The Tracking Protection Working Group, World Wide Web Consortium (2011--):

http://www.w3.org/2011/tracking-protection/

Tidigare kommissionär Neelie Kroes säger att Do Not Track-processen inte är tillräcklig för förenlighet med europeisk rätt (11.10.2012):

http://europa.eu/rapid/press-release_SPEECH-12-716_en.htm?locale=en

van Eijk, Rob och Tschoefenig, Hannes: Do Not Track - An Attempt To Frame The Debate

http://www.w3.org/2011/track-privacy/papers/Tschofenig.pdf

Article 29 Data Protection Working Party comments in response to W3C's public
consultation on the W3C Last Call Working Draft, 24 April 2014, Tracking
Preference Expression (DNT) (24.04.2014):

https://lists.w3.org/Archives/Public/public-tracking-comments/2014Jun/at...

samt

https://lists.w3.org/Archives/Public/public-tracking-comments/2014Jun/00...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Identitetspolitikens saknade fokus på dataskydd

En ny studie från Carnegie Mellon visar att Googles algoritmer oftare serverar annonser om högbetalda jobb till män än till kvinnor. Forskarna ställer vidare frågor om detta kan vara en av anledningarna till bibehållna löneklyftor i samhället. I en jämförbar studie visas att Google bildsök vid sökning på "VD" ger resultat med manliga direktörer i högre utsträckning än vad som faktiskt är fördelningen mellan manliga och kvinnliga direktörer. Sökresultat på Google påverkar sedan hur vi uppfattar normer kring olika befattningar, lönelägen och grupper, enligt forskarna.

Det Google och många andra företag och myndigheter gör kallas ”profilering”. Baserat på vad man förväntar sig att en person ska vara, får den olika information eller ges olika föreställningar. Det fungerar också åt andra hållet: en grupp eller en person kan presenteras på ett sådant sätt som förväntas till andra.

Det är en form av diskriminering, där egenskaper hos en enskild som ligger bortom dennes kontroll, till exempel att den är kvinna, kan komma att få stor påverkan på vad personen ser för reklam, jobberbjudanden, nyheter och vilken prissättning som tillämpas när personen försöker köper något. Det är också en form av diskriminering som gått jämställdhetsgrupper i Sverige förbi.

Samtidigt som mängden forskning kring hur övervakning och åtföljande profilering ökar diskrimineringen och fördomar i samhället, har Sveriges riksförbund för kvinnojourer, ROKS, valt att driva kampanj mot pornografi. Frågan om förbud mot filmer som bygger på frivilligt deltagande av skådespelare är dramaturgiskt lockande, men irrelevant.

Profilering är å andra sidan en viktig fråga, och en kvinnofråga, som samlar teknologi, juridik och ekonomi. Det politiska ointresset är utbrett – frågans bredd skrämmer, men borde egga till kamp. Google menar att man inte kan skylla på algoritmer, att datorer alltid är objektiva. Sanningen är att det inte går att granska – enligt lagen rankas företagshemligheter på Googles sökalgoritmer högre än vår mänskliga rättighet att få veta hur och om vi diskrimineras av en algoritm utvecklad i kommersiellt intresse.

Tidskriften Feministiskt perspektiv är den enda tidskrift som hittills tagit ett journalistiskt grepp om profilering och kvinnofrågor.

Profilering studeras emellertid i ökande omfattning, även som kvinnofråga. Unga kvinnor är till exempel enligt både en kanadensisk studie från 2012 (Young Canadians in a Wired World) och en svensk studie från mars 2015 (Delade meningar) mer oroliga för hur deras digitala spår ska komma tillbaka och påverka dem i framtiden.

Unga kvinnor är försiktigare med vad de säger, och genomför oftare och noggrannare rensningar av sina profiler på sociala nätverk. Trots försiktigheten ligger uppgifterna ofta kvar hos företagen, som ju redan skapat och kan återsälja profilerna de sammanställt om varje individ och grupp. Det saknas transparens mot konsumenter och användare, och teknologier och tjänster utvecklas ofta specifikt för att göra det så lätt som möjligt att profilera.

Här behövs vidare arbete, mer information och upplysningsarbete. Sannolikt behövs det också lagändringar och engagerade individer och organisationer som orkar ta sig än även breda och omfattande frågor.

Det här är ingen uppmaning att vara rädd för nya teknologier, men det är en uppmaning att titta närmare på ideologier och värderingar som byggs in i teknologier. Det handlar också om hur vi reglerar marknader för teknologier och företag som är verksamma på dessa marknader. Det är olyckligt att en av vår tids kanske största utmaningar för jämställdhet och likabehandling ofta glöms under en våt filt av "det är tekniskt komplicerat".

Läs mer:

Feministiskt perspektiv, Julia Ageborg. Risk för kraftigt försämrat dataskydd för individer (18.05.2015):

https://feministisktperspektiv.se/2015/05/18/risk-for-stora-forsamringar...

New York Times, When Algorithms Discriminate (10.07.2015):

http://www.nytimes.com/2015/07/10/upshot/when-algorithms-discriminate.ht...

The Guardian, Women less likely to be shown ads for high-paid jobs on Google, study shows (08.07.2015):

http://www.theguardian.com/technology/2015/jul/08/women-less-likely-ads-...

Internetstatistik, Delade meningar (03.03.2015):

http://www.internetstatistik.se/rapporter/delade-meningar/

Young Canadians in a Wired World, Phase III: Online Privacy, Online Publicity (2013):

http://mediasmarts.ca/ycww/online-privacy-online-publicity

Dataskydd.NET, Sverige i EU: diskrimineringens beskyddare (14.05.2015):

https://dataskydd.net/nyheter/2015/05/14/sverige-i-eu-diskrimineringens-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Twitter. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).